Perfect Forward Secrecy - Synology DS?

Waldschrat

Benutzer
Mitglied seit
09. Apr 2014
Beiträge
136
Punkte für Reaktionen
0
Punkte
22
Vielen Dank!
DSM 5 - 4482 habe ich auch
 

Waldschrat

Benutzer
Mitglied seit
09. Apr 2014
Beiträge
136
Punkte für Reaktionen
0
Punkte
22
Habe die selbe Version, hat aber leider nichts gebracht. Ich kann die Webstation nicht mehr aktivieren, bekomme beim aktivieren die Meldung "Vorgang fehlgeschlagen. Bitte melden Sie sich erneut im DSM an und versuchen Sie es erneut". Leider ohne Erfolg :(
 

Mike0185

Benutzer
Mitglied seit
26. Jun 2012
Beiträge
438
Punkte für Reaktionen
8
Punkte
24
Puuuhhh... da muss ich leider auch passen.... DS mal neu gestartet?
 

Waldschrat

Benutzer
Mitglied seit
09. Apr 2014
Beiträge
136
Punkte für Reaktionen
0
Punkte
22
Reboot läuft gerade. Habe nur gezögert weil ja die Systmoberfläche auch Web-basiert ist und ich von meiner Syn ca. 780km entfernt bin.
Kannst Du bitte nachsehen welche Dateien sich bei Dir unter
/etc/httpd/conf
befinden?
 

Mike0185

Benutzer
Mitglied seit
26. Jun 2012
Beiträge
438
Punkte für Reaktionen
8
Punkte
24
OHJE.... drücke die daumen! ;)

Rich (BBCode):
DiskStation> cd /etc/httpd/conf/
DiskStation> ls

extra              httpd.conf         httpd.conf-sys     httpd.conf-user    httpd.conf-webdav  magic              mime.types
 

Waldschrat

Benutzer
Mitglied seit
09. Apr 2014
Beiträge
136
Punkte für Reaktionen
0
Punkte
22
So jetzt isses passiert ... kein Zugriff mehr über die DSM-Weboberfläche :mad:
 

Waldschrat

Benutzer
Mitglied seit
09. Apr 2014
Beiträge
136
Punkte für Reaktionen
0
Punkte
22
Habe noch Zugriff per SSH phuu...
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
4
Punkte
414
@Waldschrat

Wenn Du tatsächlich das eingetragen hattest, was Du in #77 gepostet hast, dann gibt es auch Probleme - am Ende ist nämlich ein "SSLProtocol all -SSLv2" zu viel angehängt ;)

Zu den conf-Dateien: die httpd.conf wird immer vom System selbst generiert, darin solltest Du nichts verändern - dafür sind andere Dateien da, bspw. die httpd.conf-user.
Wenn in Dateien, aus denen die httpd.conf generiert wird, ein Fehler ist, dann scheitert das und die Datei fehlt. Dann per SSH auf die Konsole, die Dateien korrigieren (in Deinem Fall also offenbar httpd-alt-port-ssl-setting.conf bzw. httpd-ssl.conf-common) und einen Neustart - dann wird die korrekte httpd.conf neu erzeugt und alles sollte laufen.
 

Waldschrat

Benutzer
Mitglied seit
09. Apr 2014
Beiträge
136
Punkte für Reaktionen
0
Punkte
22
Hallo frogman.
Danke für Deinen Hinweis.
Als ich die Dateien httpd-alt-port-ssl-setting.conf und httpd-ssl.conf-common wieder zurückgebaut habe (nach Post #80) ist mir das auch aufgefallen.
Nach dem Zurückbau habe ich neu gestartet allerdings ohne den gewünschten Erfolg. Unter "/etc/httpd/conf" fehlt auch die vom System zu erzeugende "httpd.conf".
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
4
Punkte
414
Du hast die Dateien mit einem Unix-tauglichen Editor bearbeitet (Notepad++ unter Windows) bzw. direkt in der Konsole?
Zugriffsrechte (644) und Besitzer/Gruppe (root/root) stimmen?

Zur Not kannst Du Dir die Dateien auch im Original aus der Firmware-Datei entpacken - das ist nichts weiter als ein Archiv, welches Du bspw. mit dem Universal Extractor problemlos entpacken kannst (einmal das Firmwarefile, darin ist dann eine hda1.tgz-Datei, die musst Du dann ebenfalls entpacken, dann findest Du eine Ordnerhierarchie, in der Du die Dateien findest).
 

Waldschrat

Benutzer
Mitglied seit
09. Apr 2014
Beiträge
136
Punkte für Reaktionen
0
Punkte
22
Als ich noch Zugriff hatte habe ich die Änderungen mit WebConsole ausgeführt (#file manager).
Alle Dateien unter /etc/httpd/conf/extra haben Besitzer/Gruppe (root/root), alle Rechte haben 644 (-rw-r--r--).
Den einzigen Unterschied zwischen #80 und meinen Dateien ist ein "#" vor SSLCertificateChainFile /usr/syno/etc/ssl/ssl.intercrt/server-ca.crt in meinen Dateien. Kann das das Problem sein?

Wo finde ich die Firmware-Datei? [edit: hier gefunden http://www.synology.com/de-de/support/download/DS213+]

Ein Restart des System Apache mittels "/usr/syno/etc/rc.d/S97apache-sys.sh restart" hat folgendes gebracht:
Rich (BBCode):
/usr/syno/etc/rc.d/S97apache-sys.sh: system httpd stopped
Start System Apache Server .....   -DSSL -f /etc/httpd/httpd.conf-sys
initctl: Job failed to start
initctl: Job failed to start
Recover to default setting
httpf-sys start/running, process 27014
/usr/syno/etc/rc.d/S97apache-sys.sh: system httpd started with default setting
Auf den DSM habe ich trotzdem keinen Zugriff ...

[edit]
@frogman
Danke für den Hinweis mit der Firmwaredatei. Ich habe daraus das Verzeichnis "/etc/httpd/conf" komplett copiert (überschrieben).
Danach mit "/usr/syno/etc.defaults/rc.d/S97apache-sys.sh restart" den Apache-Sys gestartet und
Hurra!
Ich kann den DSM wieder starten.

Als ich aber den "/usr/syno/etc.defaults/rc.d/S97apache-user.sh restart" Apache-User starten wollte wurde mir mitgeteilt, dass
"ash: /usr/syno/etc.defaults/rc.d/S97apache-user.sh: not found"??

Wo bekomme ich die Datei her? Die liegt nicht in der Firmware-Datei:confused:
 
Zuletzt bearbeitet:

jahlives

Moderator
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
3
Punkte
0
das ist jetzt aber nicht ernst gemeint, oder? Die Noten sind immer spitze wenn man keine Verbindungen erlaubt resp nur TLS1.2 erlaubt
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
4
Punkte
414
Tja, da hat wohl jemand einen sehr übersichtlichen Applikationshorizont... :D
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
4
Punkte
414
...Als ich aber den "/usr/syno/etc.defaults/rc.d/S97apache-user.sh restart" Apache-User starten wollte wurde mir mitgeteilt, dass
"ash: /usr/syno/etc.defaults/rc.d/S97apache-user.sh: not found"??

Wo bekomme ich die Datei her? Die liegt nicht in der Firmware-Datei:confused:
Die gibt's in der aktuellen DSM-5.0 nicht mehr - den User-Apache startest Du neu mit
Code:
/usr/syno/sbin/synoservicecfg --restart httpd-user
 

jackaroo

Benutzer
Mitglied seit
02. Mai 2014
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
das ist jetzt aber nicht ernst gemeint, oder? Die Noten sind immer spitze wenn man keine Verbindungen erlaubt resp nur TLS1.2 erlaubt

natürlich bekommst du ein A+ sobald Forward Secrecy und Strict Transport Security (HSTS) aktiviert sind;
aber ich habe noch keine Bewertung höher als meine gesehen. :)

und die alten Browser die damit nicht klar kommen; will ich eh nicht auf meiner DS sehen; du kannst ja mal mit einem IE8 die DSM 5 besuchen.


Die DS nutzt sehr viele Dienste.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
4
Punkte
414
...und die alten Browser die damit nicht klar kommen; will ich eh nicht auf meiner DS sehen; du kannst ja mal mit einem IE8 die DSM 5 besuchen.
Es geht hier ja nicht nur um "hohe Bewertungen", sondern auch um Usability. Du schließt ja nicht nur den IE8 aus, sondern auch Firefox ESR und IE9/10, die sicherlich noch sehr verbreitet sind, sowie Android kleiner Kitkat. Solange Du alleine Deine DS von außen nutzt, ist das ja nett, aber bietest Du Dienste wie Photostation, WebDAV, Webmail usw. auch für andere an, halte ich Deine "Jagd" nach hohen Bewertungen für ziemlich übertrieben - zumal Du damit keinen wirklichen Sicherheitszuwachs generierst.
 

jahlives

Moderator
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
3
Punkte
0
Alles was Frogman gesagt hat + du kickst sogar die Suma-Spider raus. Wenn du also eine Webseite betreiben willst, wird die niemand bei Google finden. Beim Yandex Bot ist es mir auch egal, den lass ich auch nicht rein. Aber Bing und Google?
Zudem die Note alleine gibt nicht die ultimative Sicherheit. Mach doch gleich ein
Code:
iptables -I INPUT -m state --state NEW -j DROP
dann bekommst du gar keine Note und hast mit Garantie eine höhere Sicherheit als mit JEDER Note bei ssllabs :D

Wichtige Info: probiert diese iptables lieber nicht ;)
 

Waldschrat

Benutzer
Mitglied seit
09. Apr 2014
Beiträge
136
Punkte für Reaktionen
0
Punkte
22
@frogman
Danke für den Hinweis, damit habe ich den User-Teil vom Apache wieder zum Laufen gebracht.:)
 

Sílthrim

Benutzer
Mitglied seit
12. Aug 2012
Beiträge
164
Punkte für Reaktionen
0
Punkte
0
Gibt es einen Synology-Wiki Eintrag für das Forward Secrecy Setup?
 
NAS-Central - Ihr Partner für NAS Lösungen